Mis à jour le 25 mai 2026 · Base mainnet en service depuis le 1ᵉʳ mai 2026 · 3 passes Omniscient PASS + audit Codex Security Lab

Sécurité

La sécurité de vos actifs est notre priorité absolue. Tous les sont publics, vérifiables sur , et audités en continu.

Contrats centraux audités

309 109

Interactions testées

Findings traités

100 %

Taux de réussite

Protections actives

Anti-glissement

Tous les échanges imposent un minimum de sortie () calculé hors-chaîne, empêchant toute manipulation de prix.

Anti-retrait abusif

Les retraits de liquidité sont limités à 25 % maximum par 24 heures. Les jetons LP sont non-transférables ().

Anti-MEV

Protection complète contre les attaques sandwich : obligatoire, délai d’expiration sur chaque transaction, restriction administrateur.

Anti-emprunt éclair

Le pouvoir de vote utilise des points de contrôle historiques (). Impossible de gonfler son vote temporairement.

Anti-condition de course

La prévente vérifie que le palier n'a pas changé pendant la transaction. Limites par palier isolées.

Garde de réentrance

Toutes les fonctions critiques utilisent le garde () contre les attaques de réentrance.

Érosion temporelle veKAL

Le pouvoir de vote décroît linéairement jusqu’à expiration (modèle veCRV). Calcul totalSupply en O(semaines).

Disjoncteur de sécurité

Le utilise un tampon circulaire O(1) pour surveiller les événements anormaux et déclencher une pause automatique.

Historique des audits

Audit complémentaire, Codex Security Lab

Avril 20268 findings, intégralement corrigés

Audit complémentaire conduit en parallèle des passes Omniscient, sur le noyau du protocole avant le déploiement Base mainnet. Huit findings identifiés, tous corrigés avant le déploiement du 1ᵉʳ mai 2026. Le résumé public figure sur la page Audits.

Périmètre : contrats du noyau protocole (KAL, KalAccessPassV5_1, BuybackRecirculator, KalPresaleV2, KalStakingVe, KalRouter)

8 findings identifiés et intégralement corrigés avant le déploiement Base mainnet

Audit pause individuelle KalPool, Omniscient Security Labs

25 avril 2026PASS, GO redéploiement 3 mai

Audit dédié à l’ajout des fonctions de pause individuelle sur KalPool (pauseMyStrategy / liftMyPause) en parité avec l’arrêt d’urgence du mode Solo. Le design retenu, un drapeau de préférence en lecture, sans aucun transfert de valeur, est validé par Omniscient comme la seule approche sécurisée pour un pool mutualisé : la valeur de la part collective reste indivisible en cours de cycle, et le robot d’exécution lit l’état de pause pour réduire l’exposition de l’utilisateur sur les prochaines ouvertures.

Cohérence sémantique avec KalSoloPool, drapeau de préférence en lecture, 0 transfert de valeur, comptabilité préservée : PASS

Aucun ajout de modificateur global requis sur les nouvelles fonctions, préférence utilisateur consultable même en pause administrateur (UX préservée) : PASS

Risque de spam (griefing) non exploitable, coût du gaz dissuasif, l’attaquant ne consomme que son propre gaz : PASS

Bytecode runtime mesuré indépendamment à 24 158 octets, plafond EIP-170 à 24 576, marge résiduelle de 418 octets confirmée

95 tests Hardhat KalPool verts (89 hérités + 6 nouveaux dédiés à la pause individuelle), F-OMN-286-01 toujours bloqué (bypass de pause globale impossible)

Les 5 KalPool sont déployés sur Base mainnet avec les fonctions emergencyExitMyPosition, pauseMyStrategy et liftMyPause actives

Campagne de fuzzing KalSoloPool + cohérence arrêt utilisateur

25 avril 2026300 000 transitions, 0 violation

Campagne de industriel Forge exécutée sur KalSoloPool en environnement de qualification. En parallèle, travail de cohérence pour aligner le parcours utilisateur entre les modes écosystème (KalPool) et solo (KalSoloPool) : la fonction d’arrêt individuel existait en Solo mais pas côté écosystème, un trou de cohérence comblé avant la relecture Omniscient en mission unique et le déploiement Base mainnet des 5 stratégies.

KalSoloPool, campagne Forge : 6 s × 50 000 transitions (300 000 au total), 0 revert, 0 violation

KalPool, fonction emergencyExitMyPosition() ajoutée (parité fonctionnelle avec KalSoloPool.emergencyStopMyPosition)

Tests automatiques Hardhat, 4 cas couverts : nominal, contrat en pause (bypass volontaire), aucune position, liquidité insuffisante

Frontend, correction d’un défaut d’instanciation du signer ethers (rétablit dépôts et arrêts en Mode Solo)

Relecture Omniscient en mission unique validée, puis déploiement des 5 KalPool sur Base mainnet

Retest final, Omniscient Security Labs

22 avril 2026PASS, bloquants techniques levés

Retest indépendant des étapes critiques pré-mainnet par Omniscient Security Labs. Validation finale couvrant la tokenomique de la prévente, le batch atomique mainnet (), le mode user-choice KalSoloPool et la stabilité de la chaîne d’intégration. Politique d’audit retenue pour le mainnet : Omniscient en mission unique.

ÉTAPE 4.22, Plafond prévente 500 000 KAL (5 % de l’offre) cohérent avec les 10 paliers : PASS

ÉTAPE 4.23, Vesting Alpha+Beta (T0→T+240) sans modification de KalToken.sol via batch : PASS

ÉTAPE 4.24, KalSoloPool : 5 instances vérifiées en environnement de qualification (mode user-choice), module complémentaire hors périmètre du mainnet : PASS

Chaîne d’intégration Hardhat alignée sur evmVersion cancun : compilations stables, 1 109 tests verts

Audit industriel Tier-1, Outils CertiK-Level

03 avril 20268 000 attaques fuzzing, 0 faille

Déploiement des outils d'audit utilisés par les firmes de sécurité Tier-1 (CertiK, Trail of Bits) : analyse statique + industriel Forge avec 8 000 transactions aléatoires sur les contrats critiques.

Analyse statique /Forge : 0 vulnérabilité High, Medium ou Low détectée, 4 warnings cosmétiques (Info)

Fuzzing KalPresaleV2 (3 000 runs) : achats aléatoires $0-$10M, tracking cumulatif, rejet au-delà des limites, 0 brisé

Fuzzing VeKAL (5 000 runs) : pouvoir de vote, compteur global, retrait avant expiration, futur, cycle complet, 0 brisé

Note : v0.10.0 incompatible avec (bug connu), analyse complétée via forge inspect

Total combiné : 9 109 interactions testées (1 109 Hardhat + 8 000 ), 0 faille critique

Audit externe, Omniscient Security Labs

02 avril 20263 rounds, 0 finding résiduel

Audit indépendant en 3 rounds couvrant les 22 contrats . Analyse approfondie de la tokenomie, gouvernance , et distribution des frais.

: érosion temporelle du pouvoir de vote implémentée (modèle )

: totalSupply() optimisé de O(N) à O(semaines)

KalYieldDiversifier : comptabilité fantôme corrigée

KalCapitalManager : refactorisation rebalance en appels internes

: jetons rendus non-transférables ()

KalCompounder : protection anti- ( obligatoire + deadline)

BuybackRecirculator : formule Uniswap V2 optimale, report des résidus

KalAutoVault : protection contre dépassement négatif (cap 50 %)

: historique optimisé en tampon circulaire O(1)

Audit périphérique, Gouvernance & Prévente

03 avril 20264 vulnérabilités corrigées

Audit ciblé sur les contrats KalGovernance, KalPresaleV2, KalBonding et KalRouter.

Détournement de vote par verrouillage éclair : points de contrôle + ()

Déni de service prévente : limites isolées par palier

Manipulation d’oracle par emprunt éclair : suppression de

Attaque sur : paramètre minKALOut hors-chaîne

Audit interne

14 mars 202612 vulnérabilités corrigées

Première analyse statique de 12 contrats couvrant le glissement, la réentrance, le contrôle d’accès et la manipulation d’oracle.

Glissement à 0 sur les échanges : minimum 5 % imposé

Dépassement négatif réserve dans reportLoss : vérification stricte

Devancement : restriction administrateur uniquement

Condition de course prévente : annulation si palier avance

Retrait abusif illimité : max 25 % par 24h

Centralisation administrateur : 2/3 prévu

stakeFor sans événement : événement émis + validation

Infrastructure de sécurité

Actif

(arrêt d’urgence) sur tous les contrats critiques

sur toutes les fonctions sensibles

Vérification d’adresses nulles sur constructeurs et configurateurs

Protection anti- complète ( + délai d’expiration hors-chaîne)

Points de contrôle temporels (anti-emprunt éclair)

Jetons non-transférables ()

avec tampon circulaire O(1)

Programme de signalement de vulnérabilités informel (formalisation post-mainnet)

Fuzzing industriel Forge, 300 000 transitions sur KalSoloPool (6 s × 50 000) + 8 000 runs sur KalPresaleV2 et VeKAL + 1 109 tests Hardhat

Prévu au réseau principal

multi-signatures 2/3

Connexion 24-48h aux fonctions d’urgence

Schéma de prévente conditionnel : palier de viabilité ≥ 100 000 levés sur Alpha (à partir du 8 mai 2026) plus Beta (juin 2026) au 31 août 2026, ouverture publique (14 septembre 2026, paliers 4 à 9) conditionnée à ce palier. Mainnet Base ouvert depuis le 1ᵉʳ mai 2026 avec une fenêtre de validation live des algos entre le 1ᵉʳ et le 8 mai.

Vesting Alpha + Beta sans modification de KalToken via batch atomique (Path 2)

Protections opérateur

Limiteur de fréquence, limite les retraits opérateur par période

24h, délai sur les changements administratifs

Anti-retrait abusif , max 25 % retrait par 24h

2/3, multi-signatures requises (prévu)

Et si KalMydas ferme ?

Trois scénarios couvrent tous les cas où tu perdrais le contact avec l'équipe ou l'interface. Dans chacun, tes fonds restent accessibles sans nous.

L'interface web tombe

Panne app.kalmydas.com, nom de domaine perdu, hébergeur fermé.

Tes fonds sont dans les publics, pas sur notre serveur. Tu peux interagir directement avec les contrats via : tu connectes ton portefeuille, tu appelles la fonction de retrait de ta stratégie, tu récupères tes . L'interface web est un confort, pas une dépendance.

L'équipe disparaît

Plus de mise à jour, les bots arrêtent d'ouvrir des positions.

Les règles de sortie (stop-loss, take-profit) sont posées au moment où la position s'ouvre sur gTrade. Elles s'appliquent automatiquement, même si plus personne ne pilote les bots côté KalMydas. Pour récupérer ton dépôt, tu interagis avec le contrat intelligent de ta stratégie, ni notre interface, ni notre équipe ne sont un passage obligé.

gTrade lui-même tombe

Le protocole DeFi sous-jacent est compromis.

Ce risque existe avec tout protocole DeFi. gTrade (Gains Network) affiche plusieurs centaines de millions de dollars de valeur totale verrouillée et a traversé plusieurs audits externes. Notre confiance repose sur leur transparence et leur historique, pas sur une garantie. C'est le seul des trois scénarios où nos propres contrats ne peuvent pas te protéger : nous dépendons d'un tiers .

Dans les trois cas, aucune clé privée KalMydas ne contrôle tes fonds. Ça n'élimine pas les risques, ça les ramène à du risque de protocole, pas du risque de garde tierce.

Contrats vérifiés

Infrastructure

Contrat	Rôle	Adresse Base mainnet
Jeton KAL	Jeton ERC-20 principal	0xe995...afA8
KalSwap (DEX)	AMM x*y=k, liquidité	0x9487...2CBC
Récompenses LP	Verrouillage LP + KAL	0x2436...472C
Récompenses de réserve	Bonus KAL auto sur stratégies	0xEb91...FA19
Courbe de liaison	Achat KAL à prix progressif	0x8eb4...2EaF
veKAL	Verrouillage KAL → pouvoir de vote	0x58Cf...d605
Distributeur de frais	Distribution USDC hebdomadaire	0xa7Ea...5508
Pass d'accès	NFT non transférable	0xbdb0...b884
Gouvernance	Propositions & votes on-chain	0xAEFe...eC8B
Parrainage	Système de parrainage multi-niveaux	0xadEd...a21A
Multiplicateur partage frais	Multiplicateur veKAL sur frais	0xb05A...21AE
Trésorerie RWA	Diversification hors-crypto	0x4f1F...80C1
Auto-composition	Réinvestissement automatique des plus-values	0x09BE...1848
Rachat & recirculation	Rachat KAL puis recirculation en liquidité protocolaire	0xaCc0...9Ad0

Adresses publiées depuis le fichier de déploiement Base mainnet. La prévente (KalPresaleV2), l’airdrop (KalAirdrop) et les contrats périphériques de routage sont déployés séparément ; leurs adresses Base mainnet seront ajoutées une fois confirmées.

Jeton KAL

0xe995...afA8

KalSwap (DEX)

0x9487...2CBC

Récompenses LP

0x2436...472C

Récompenses de réserve

0xEb91...FA19

Courbe de liaison

0x8eb4...2EaF

veKAL

0x58Cf...d605

Distributeur de frais

0xa7Ea...5508

Pass d'accès

0xbdb0...b884

Gouvernance

0xAEFe...eC8B

Parrainage

0xadEd...a21A

Multiplicateur partage frais

0xb05A...21AE

Trésorerie RWA

0x4f1F...80C1

Auto-composition

0x09BE...1848

Rachat & recirculation

0xaCc0...9Ad0

Réserves de stratégie

Pool	Adresse	Réseau
Stratégie Horizon	0xe1Cd...FBE3	Base mainnet
Stratégie Valkyrie	0x375C...F35B	Base mainnet
Stratégie Revolution	0x77Cd...B58c	Base mainnet
Stratégie Treasury	0xd29E...13c4	Base mainnet
Stratégie Orion	0x4ec0...12Fb	Base mainnet

Stratégie Horizon

0xe1Cd...FBE3

Stratégie Valkyrie

0x375C...F35B

Stratégie Revolution

0x77Cd...B58c

Stratégie Treasury

0xd29E...13c4

Stratégie Orion

0x4ec0...12Fb

Signalement de vulnérabilités

Au stade actuel, le signalement de vulnérabilités se fait de manière informelle, par contact direct en message privé sur X ou Telegram. Aucun barème contractuel n'est en vigueur à ce stade : chaque signalement est traité au cas par cas, et les contributions sérieuses sont reconnues par une récompense en jetons KAL ou en USDC selon la gravité et l'impact.

Un programme formel de signalement (avec barème public et SLA de réponse) sera mis en place dans le cadre de l'ouverture progressive de la gouvernance.

X @KalMydas Telegram @KalMydas

Les sont déployés sur Base mainnet depuis le 1ᵉʳ mai 2026 et leur code source est vérifié sur . La sécurité est un processus continu : nous recommandons de toujours vérifier les adresses de contrats avant toute interaction. Les résultats passés ne préjugent pas des résultats futurs.